As Good A Place As Any
Tim Thomas's Blog
VNC サーバーと GDM の OpenSolaris 2008.05 向け構成例
私が目標としていたのは、OpenSolaris 2008.05 が動作しているシステムに VNC クライアントを接続し、root としてログインできるようにすることでした。オリジナルの OpenSolaris 2008.05 バイナリディストリビューションが動作しているシステム上でもうまくできましたし、snv_91 にフルイメージアップデートを実行したあとの OpenSolaris 2008.05 システム上でもうまくできました。
1. VNC サーバーがインストールされていることを確認
これは 2008.05 バイナリディストリビューションの一部なので存在するはずですが、確認しました。
# pkg info SUNWxvnc
Name:SUNWxvnc
Summary:X11/VNC server
State:Installed
Authority:opensolaris.org (preferred)
Version:4.1.2
Build Release:5.11
Branch:0.91
Packaging Date:Fri Jun 13 17:49:25 2008
Size:6.3 MB
FMRI:pkg:/SUNWxvnc@4.1.2,5.11-0.91:20080613T174925Z
2. 次の行を /etc/services に追加
vnc-server 5900/tcp # Xvnc
3. /etc/X11/gdm/custom.conf を次のように編集
[xdmcp]
Enable=true
[security]
DisallowTCP=false
AllowRoot=true
AllowRemoteRoot=true
4. サービスを有効化
# svcadm enable xvnc-inetd
# svcs xvnc-inetd
STATE STIME FMRI
online 16:22:30 svc:/application/x11/xvnc-inetd:default
# svcadm enable gdm
# svcs gdm
STATE STIME FMRI
online 14:43:13 svc:/application/graphical-login/gdm:default
5. VNC クライアントでディスプレイに接続
これで、<ホスト名>:5900 で接続できるようになったため、GDM のログイン画面が表示されるはずです。
もし接続できない場合、次のようにサービスを停止してから開始してみてください。
# svcadm disable xvnc-inetd gdm
# svcadm enable xvnc-inetd gdm
1 つ不満な点があります。VNC クライアントを閉じると、ディスプレイに関連したログインセッションが終了してしまいます。この問題は、GDM ではなく dtlogin を使用している Solaris 10 と Solaris Express では発生していませんでした。もし解決策が見つかれば、この記事に修正方法を投稿します。
Posted at 08:23AM Sep 16, 2008 in VNC |
Solaris 10 5/08 と Solaris Express (Nevada) で VNC サーバーを構成するスクリプト
今まで私は Solaris Express (Nevada) で VNC サーバーのディスプレイを構成するのに、あるスクリプトを使っていました。Solaris 10 5/08 (Solaris 10 Update 5) には同じく Xvnc が含まれているため、このスクリプトが動作することがわかりました。
私はいつも Solaris をフルインストールします。もし読者がフルインストールしていない場合、Xvnc は使用中のシステムにインストールされていないことがあります。これは次の方法で簡単に確認できます。
# pkginfo | grep xvnc
system SUNWxvnc X11/VNC server
OS のインストールが完了したら、次のスクリプトを実行します。このスクリプトでは VNC ディスプレイを 2 つ設定するので、VNC クライアントを使うと <ホスト名>:1 と <ホスト名>:2 という形式でディスプレイに接続できます。2 つ目のディスプレイは共有です。
#!/bin/sh
#
# config_Xvnc_s10+snv.sh
#
# このスクリプトは OS のインストールが完了してから実行します。
#
# Solaris 10 5/08 および Solaris Express (Nevada) b87 以降でテスト済みです。
#
#VNC ディスプレイ 1 を追加
svccfg -s application/x11/x11-server add display1
svccfg -s application/x11/x11-server:display1 addpg options application
svccfg -s application/x11/x11-server:display1 addpropvalue options/server astring:"/usr/X11/bin/Xvnc"
svccfg -s application/x11/x11-server:display1 addpropvalue options/server_args astring:'"SecurityTypes=None"'
#VNC ディスプレイ 2 を追加 (共有)
svccfg -s application/x11/x11-server add display2
svccfg -s application/x11/x11-server:display2 addpg options application
svccfg -s application/x11/x11-server:display2 addpropvalue options/server astring:"/usr/X11/bin/Xvnc"
svccfg -s application/x11/x11-server:display2 addpropvalue options/server_args astring:'"SecurityTypes=None"'
svccfg -s application/x11/x11-server:display2 addpropvalue options/server_args astring:'"-alwaysshared"'
# 開始するために dtlogin を設定
if [ !-d /etc/dt/config ] ; then
mkdir -p /etc/dt/config
fi
if [ !-f /etc/dt/config/Xservers ] ; then
cp /usr/dt/config/Xservers /etc/dt/config/Xservers
fi
echo " :1 Local local_uid@none root /usr/X11/bin/Xserver :1" >> /etc/dt/config/Xservers
echo " :2 Local local_uid@none root /usr/X11/bin/Xserver :2" >> /etc/dt/config/Xservers
pkill -HUP dtlogin
#終了
VNC クライアントの接続を切ってもディスプレイはそのまま維持されます。そのため、あとでセッションに復帰することができ、ウィンドウとアプリケーションはすべて切断時のままとなります。開始したジョブはずっと実行されます。
VNC クライアントのソフトウェアは http://www.realvnc.com から入手できます。Free Edition と、機能が強化された Personal Edition があり、後者にはライセンスが必要です。
5/08 より古い Solaris 10 のリリースを使用している場合、VNC の構成方法は私の以前のブログ記事を参照してください。
Posted at 08:21AM Sep 16, 2008 in VNC | Comments[1]
Solaris CIFS への Windows SID のマッピング - 概要
この記事は「OpenSolaris CIFS サーバーをドメインモードで構成」の続きです。 共有をマッピングしたとき、ワークグループモードとは異なり、ユーザー ID とパスワードの入力を求められませんでした。では、ファイルやフォルダの所有権やアクセス権はどのように扱われているのでしょう。
Solaris CIFS の実装部分には ID マッピングサービスが含まれています。 このサービスにより、Windows の SID (Security IDentifier) を Solaris のユーザーID (および必要であればグループ ID) に明示的にマップできます。ただし明示的にマップしない場合、ID マッピングサービスが Windows ユーザー向けにエフェメラルな Solaris ユーザー ID およびグループ ID を生成します。 Solaris CIFS Administrators Guide では ID マッピングの方法について説明しています。
直前の実行の最後に作成されたファイルとディレクトリに関するアクセス権は、Solaris で一覧にすると次のようになります。
root@isv-x4500b # pwd
/tank/cifs1
root@isv-x4500b # ls -l
total 10
d---------+ 2 2147483649 2147483650 2 Apr 8 05:49 user1
----------+ 1 2147483649 2147483650 0 Apr 8 05:57 user1.txt
d---------+ 2 2147483650 2147483650 3 Apr 8 05:50 user2
----------+ 1 2147483650 2147483650 0 Apr 8 05:51 user2.txt
これは少々奇妙に思えます。というのも、OpenSolaris の CIFS サービスは ZFS ACL を使用しており、それが一覧に表示されていないからです。 現在の ID マッピングをダンプしてみると、次のようになります。
root@isv-x4500b # idmap dump
usid:S-1-5-21-500772251-2770406677-2360070262-1125 == uid:2147483650
usid:S-1-5-21-500772251-2770406677-2360070262-1113 == uid:2147483649
gsid:S-1-5-21-500772251-2770406677-2360070262-513 == gid:2147483650
gsid:S-1-5-21-500772251-2770406677-2360070262-512 == gid:2147483651
gsid:S-1-5-11 == gid:2147483652
gsid:S-1-5-2 == gid:2147483653
gsid:S-1-5-32-544 == gid:2147483654
Windows SID が Solaris のユーザー ID とグループ ID にマップされています。ユーザーへのマッピングは即座に作成されます (エフェメラルな ID マッピング)。Windows のグループ SID マッピングはシステムレベルの処理中に生成され、こちらの一覧を参考にすれば解読できます。 これによると、次のことが読み取れます。
Windows Group SID xxxxxx-513 = Domain Users = Solaris GID 2147483650
Windows Group SID xxxxxx-512 = Domain Admins = Solaris GID 2147483651
Windows Group SID xxxxxx-11 = Authenticated Users = Solaris GID 2147483653
Windows Group SID xxxxxx-2 = Network (ネットワーク経由でログインしたユーザー) = Solaris GID 2147483651
Windows Group SID xxxxxx-544= Administrators = Solaris GID 2147483654
作成したファイルとディレクトリは Domain Users グループにあり、それが Solaris GID の 2147483650 にマップされたことが分かりました。
この内容については今後さらに掘り下げるつもりです。今回は概要です。
詳細情報
OpenSolaris Project: CIFS Server のホームページ
Open Solaris CIFS Documentation と、Solaris CIFS Administrators Guide や Troubleshooting Information
また Open Solaris Storage Discuss Forum への参加もご検討ください
Posted at 09:00AM May 01, 2008 in Storage | Comments[1]
CIFS および NFSv4 クライアント経由で OpenSolaris の ZFS 用ウィルススキャンサービスを設定
OpenSolaris には、CIFS クライアントまたは NFSv4 クライアントでアクセスし、ファイルのウイルススキャンが実行できる機能があります。このプロジェクトについては、OpenSolaris Project: VSCAN Service のホームページで情報を得られます。このスキャンのモデルは、ウイルス対策ソフトを実行している外部サーバーにファイルを送信 (ICAP プロトコルで) してスキャンするという点で、この記事で説明しているモデルに似ています。これは NAS 機器では一般的なモデルです。
ここに記載しているように、OpenSolaris CIFS を設定したため、このサービスを試してみたいと思いました。筆者は Sun での業務の一環として、NAS 製品で利用できるウイルス対策ソフトの認定を行っています。そのため、この種類のテストには慣れています。
前回と同様、Sun Fire X4500 に Solaris Nevada build 86 をインストールして作業しています。
root@isv-x4500b # uname -a
SunOS isv-x4500b 5.11 snv_86 i86pc i386 i86pc
使用したコマンドはほぼそのまま記載しましたが、一部のフィールドはこの記事のために編集しています。
Symantec Scan Engine Version 5.1 を筆者のラボにある Windows サーバー (ホスト名: scanengine) にインストールし、必要なスキャンサービスを用意しました。Symantec Scan Engine には標準で ICAPプロトコルインタフェースが備わっているため、OpenSolaris の VSCAN サービスを有効にして連係させます。
Symantec Scan Engine は「スキャンのみ」モードに設定しました。このモードではファイルがウイルスに感染しているかどうかを VSCAN サービスに通知するだけで、感染ファイルの修復 (つまりウイルスの削除) は行いません。ファイルが感染しているという通知を受けた場合、VSCAN サービスはファイルに属性を付加してアクセスできなくする (ファイルを隔離する) という処理をします。
VSCAN サービスは vscanadm コマンドで管理します。VSCAN サービスのデーモンである vscand はスキャンエンジンと連係してファイルをスキャンしようと、感染ファイルのデータを ICAP プロトコル経由でスキャンエンジンに送信します。
ZFS ファイルシステムの tank/cifs2 にある「cifs2」という CIFS 共有でウイルススキャンができるようにします。手順は次のとおりです。
1. VSCAN サービスを有効にする
root@isv-x4500b # svcadm enable vscan
root@isv-x4500b # svcs vscan
STATE STIME FMRI
online 7:38:08 svc:/system/filesystem/vscan:icap
2. ZFS ファイルシステムでウイルススキャンを有効にする
root@isv-x4500b # zfs set vscan=on tank/cifs2
注:次以降の手順では、scanengine の部分を、読者がウイルス対策ソフトを実行しているサーバーのホスト名に置き換えてください。
3. スキャンエンジンを追加する
root@isv-x4500b # vscanadm add-engine scanengine
root@isv-x4500b # vscanadm get-engine scanengine
scanengine:enable=on
scanengine:host=scanengine
scanengine:port=1344
scanengine:max-connection=32
注:ICAP ではポート 1344 がデフォルトですが、変更もできます。ただし変更した場合、ウイルス対策ソフトで使用しているポートも変更する必要があります。
4. 省略可能 - スキャン処理に送るファイルの最大サイズを設定する
巨大なファイルをスキャンするのは非効率です。1 ファイルでスキャンする最大サイズを 100M バイトに設定してみます。100M バイト以上のファイルをスキャンする必要がある場合、アクセスを許可または拒否するオプションを指定できます。いずれのオプションであってもファイルはスキャンされません。
root@isv-x4500b # vscanadm set -p max-size=100M
root@isv-x4500b # vscanadm set -p max-size-action=deny
root@isv-x4500b # vscanadm show
max-size=100M
max-size-action=deny
types=+*
scanengine:enable=on
scanengine:host=scanengine
scanengine:port=1344
scanengine:max-connection=32
5. 省略可能 - スキャン対象のファイルタイプ一覧を修正する
デフォルトではすべてのファイルタイプがスキャンされます。ここではスキャン対象のファイルタイプ一覧から「jpg」で終わるファイルを除外します。
root@isv-x4500b # vscanadm set -p types=-jpg,+*
root@isv-x4500b # vscanadm show
max-size=10M
max-size-action=deny
types=-jpg,+*
scanengine:enable=on
scanengine:host=scanengine
scanengine:port=1344
scanengine:max-connection=32
6. スキャンが機能しているか確認する
ウイルススキャンソフ���のテスト用ファイルは EICAR から入手できます。このファイルはウイルススキャンソフトからはウイルスに見えるのですが、使用しても安全です。
Windows サーバーに cifs2 共有をマウントし、その共有にファイルやフォルダをいくつか作成しましたが、問題ありませんでした。次に、ウイルス対策を解除している Windows サーバーのドライブから、共有上に EICAR のファイルをドラッグ&ドロップしました。共有上にある EICAR ファイルを開こうとしましたが、アクセスは拒否されました。
システムログに次のようなメッセージが記録されています。
Apr 9 08:13:09 isv-x4500b vscand:[ID 540744 daemon.warning] quarantine /tank/cifs2/eicar.com.txt 11101 - EICAR Test String
OpenSolaris を稼働しているサーバーに戻り、ファイルが実際にスキャンされたかどうか、次のように確認しました。
root@isv-x4500b # vscanadm stats
scanned=13
infected=6
failed=0
scanengine:errors=0
ファイルはスキャンされており、スキャンエラーもありません。
最後に Symantec Scan Engine の GUI 上の統計も確認しましたが、こちらでもファイルがスキャンされていることを確認できます。次の画像の数字は前述の vscanadm の出力結果と一致していませんが、これはあとでスクリーンショットをとったからです。
隔離用のビットが設定されているため、感染ファイルへのアクセスが拒否されます。隔離用ビットは次のようにして「q」の文字で確認します。
root@isv-x4500b # ls -/c eicar.com.txt
----------+ 1 2147483649 2147483650 68 Apr 9 08:13 eicar.com.txt
{A------mq-}
詳細情報
OpenSolaris Project: VSCAN Service のホームページ
Posted at 09:00AM Apr 29, 2008 in Storage |
OpenSolaris CIFS サーバーをドメインモードで構成
最近、「OpenSolaris CIFS サーバーをワークグループモードで構成」というブログを書きました。今回はこの手順を Active Directory 環境で行なってみました。
前回と同様、Sun Fire X4500 に Solaris Nevada build 86 をインストールして作業しています。
root@isv-x4500b # uname -a
SunOS isv-x4500b 5.11 snv_86 i86pc i386 i86pc
使用したコマンドやシステムのファイルはほぼそのまま記載しましたが、一部のフィールドはこの記事のために編集しています。
1. OpenSolaris サーバーを Active Directory ドメインサーバーの DNS クライアントとして構成する
このためには /etc/resolv.conf ファイルを作成または修正し、Active Directory ドメインコントローラに対して検索を行うようにします。
root@isv-x4500b # cat /etc/resolv.conf
domain sspg.central.sun.com
nameserver 192.168.2.1
search sspg.central.sun.com central.sun.com
次に /etc/nsswitch.conf ファイルを設定し、DNS 経由でホストが解決されるようにします。既存の /etc/nsswitch.conf ファイルを修正するか、単に /etc/nsswitch.dns を /etc/nsswitch.conf にコピーします。
DNS が正常に動作していることを確認するために、既知のホストを nslookup で検索する簡単なテストを行うのもよいでしょう。
2. Kerberos を設定する
/etc/krb5/krb5.conf ファイルを編集し、使用している環境に合わせながら次のようにフィールドを設定します。次に記載してあるのは /etc/krb5/krb5.conf ファイルの一部だけです。マニュアルの 42 ~ 43 ページに手順が詳しく説明されています。
<-- 省略 -->
[libdefaults]
default_realm = SSPG.CENTRAL.SUN.COM
[realms]
SSPG.CENTRAL.SUN.COM = {
kdc = domaincontroller.sspg.central.sun.com
admin_server = domaincontroller.sspg.central.sun.com
kpasswd_server = domaincontroller.sspg.central.sun.com
kpasswd_protocol = SET_CHANGE
}
[domain_realm]
.sspg.central.sun.com = SSPG.CENTRAL.SUN.COM
<-- 省略 -->
3. 使用しているサーバーの時計をドメインコントローラと同期させる
これは見落としやすい手順です。あとで Kerberos の初期化で問題が発生し、ドメインに参加できない可能性があります。実際、筆者の身にも起こりました。
マニュアルの 43 ページでは時計を同期させる方法をいくつか説明していますが、筆者は次の方法で行いました。
root@isv-x4500b # ntpdate domaincontroller.sspg.central.sun.com
4. CIFS サービスを開始する
root@isv-x4500b # svcadm enable -r smb/server
svcadm:svc:/milestone/network depends on svc:/network/physical, which has multiple instances.
このメッセージは無視してかまいません。
5. ドメインに参加する
この手順を完了するには、ドメインで Administrator 権限を持つ Active Directory ユーザーの名前 (この場合 aduser) とパスワードを入手しておく必要があります。
この部分で筆者はしばらく立ち往生しました。マニュアルの 43 ページで sharectl を使用していますが、ここでは余分な手順が説明されているとみられ、うまくいきませんでした。結局、次の方法で解決しました。
root@isv-x4500b # smbadm join -u aduser sspg.central.sun.com
Enter domain password:
Joining 'sspg.central.sun.com' ... this may take a minute ...
Successfully joined domain 'sspg.central.sun.com'
もし失敗した場合、手順 3 を実行したか確認してください。サーバー間の時間差が大きすぎるときにドメインに参加しようとした場合、システムログに Kerberos のメッセージが残ります。これが原因ではなければ、Troubleshooting Guide を参照してください。
6. CIFS サーバーを停止および開始する
root@isv-x4500b # svcadm enable -r smb/server
svcadm:svc:/milestone/network depends on svc:/network/physical, which has multiple instances.
7. ZFS ファイルシステムを作成する
筆者はすでに tank という ZFS ストレージ��ールを作成してあります。
root@isv-x4500b # zfs create -o casesensitivity=mixed tank/cifs1
8. SMB 経由で ZFS ファイルシステムを共有し、共有名をカスタマイズする
root@isv-x4500b # zfs sharesmb=on tank/cifs1
デフォルトの共有名は tank_cifs1 になります。次のようにすると、これを cifs1 に変更できます。
root@isv-x4500b # zfs sharesmb=name=cifs1 tank/cifs1
これは sharemgr を使用すると確認できます。
root@isv-x4500b # sharemgr show -vp
default nfs=()
zfs
zfs/tank/cifs1 smb=()
cifs1=/tank/cifs1
9. 共有ディレクトリにアクセス権を設定する
筆者は、2 台の Windows クライアントから Active Directory の登録ユーザーで共有にアクセスしようと考えていました。共有ディレクトリでアクセス権を設定し、アクセス上の問題が発生しないようにしました。
root@isv-x4500b # chmod 777 /tank/cifs1
この手順をもっと簡潔に行えるようにするには、Solaris CIFS Administrators Guide に記述されているように、ZFS ACL や ID マッピングについてさらに実験を重ねる必要があります。これについては今後考察してみます。
10. 共有にアクセスする
Microsoft Windows Server 2003 が稼働している 2 台のクライアント (client 1 と client 2) から共有にアクセスします。
2 台とも CIFS サーバーと同じ Active Directory ドメインのメンバーです。各サーバーに対し、別々の Active Directory 登録ユーザーとしてログインします。つまり、user1 が client1 にログインし、user2 が client2 にログインします。
共有を両方のクライアントに対してマップします。
共有をマップしたとき、ワークグループのときのようにユーザー ID とパスワードを要求されることはありませんでした。しかしシステムログを見ると認証が行われており、共有に対する rw アクセス権限がユーザー [SSPG\user1] と [SSPG\user2] に付与されています。
Apr 8 05:49:30 isv-x4500b smbsrv:NOTICE: smbd[SSPG\user1]: cifs1 rw access granted
Apr 8 05:49:53 isv-x4500b smbsrv: NOTICE: smbd[SSPG\user2]: cifs1 rw access granted
両方のクライアントから問題なく同じ共有ディレクトリを参照したり、そこにファイルやフォルダを作成したりできました。
詳細情報
OpenSolaris Project: CIFS Server のホームページ
Open Solaris CIFS Documentation と、Solaris CIFS Administrators Guide や Troubleshooting Information
また Open Solaris Storage Discuss Forum への参加もご検討ください
Posted at 09:00AM Apr 27, 2008 in Storage |
OpenSolaris CIFS サーバーをワークグループモードで構成
本稿では、OpenSolaris CIFS サーバーをワークグループモードで構成する手順を簡潔に説明します。
次のように、筆者は Sun Fire X4500 に Solaris Nevada build 86 をインストールして作業しています。
root@isv-x4500b # uname -a
SunOS isv-x4500b 5.11 snv_86 i86pc i386 i86pc
すでに「tank」という名前の ZFS ストレージプールを作成してあるので、次のような手順となります。
1. CIFS サーバーを有効にする
root@isv-x4500b # svcadm enable -r smb/server
svcadm:svc:/milestone/network depends on svc:/network/physical, which has multiple instances
この診断メッセージについてインターネットで調べた結果、無視できます。
2. ZFS ファイルシステムを作成する
root@isv-x4500b # zfs create -o casesensitivity=mixed tank/cifs0
3. SMB を使用して新しいファイルシステムを共有し、稼働状態を確認する
root@isv-x4500b # zfs set sharesmb=on tank/cifs0
root@isv-x4500b # sharemgr show -vp
default nfs=()
zfs
zfs/tank/cifs0 smb=()
tank_cifs0=/tank/cifs0
4. 共有名を変更する
デフォルトの共有名 tank_cifs0 を cifs0 に変更します。
root@isv-x4500b # zfs set sharesmb=name=cifs0 tank/cifs0
root@isv-x4500b # sharemgr show -vp
default nfs=()
zfs
zfs/tank/cifs0 smb=()
cifs0=/tank/cifs0
5. ワークグループ名を設定する
デフォルトのワークグループ名は「workgroup」ですが、これを「solcifs」に変更してみます。
root@isv-x4500b # smbadm join -w solcifs
ワークグループ「solcifs」を追加できました。
6. SMB PAM モジュールをインストールする
/etc/pam.conf ファイルの末尾に次の行を追加します。
other password required pam_smb_passwd.so.1 nowarn
手順全体で、ファイルを編集しなければならないのはこの 1 回だけです。
7. CIFS 共有への接続時に認証する Solaris ユーザーのパスワードを設定または変更する
筆者は root を使用していますが、サーバーに登録されていればどの Solaris ユーザーでも実行できます。
root@isv-x4500b # passwd root
New Password:
Re-enter new Password:
passwd:password successfully changed for root
SMB PAM モジュールをインストールしてあると、Windows でも Solaris でも利用できるパスワードをこのモジュールが生成します。これは必須の手順です。
8. Windows から共有をマップする
Windows からは、UNC パス「\\isv-x4500b\cifs0」で共有にアクセスします。 OpenSolaris CIFS では未認証のユーザーによる共有へのアクセスに対応していません。OpenSolaris CIFS には SAMBA の「ゲストモード」に相当するものがないからです。この例の場合、筆者は自身を root として認証しています。
マップされた共有は次のようになります。
Windows で作成したファイルは、認証を受けたユーザーが Solaris サーバー上で所有できるようになります。共有ディレクトリに対する UNIX の適切なアクセス権がこのユーザーにない場合、一部のファイル操作はうまくいきません。この問題は chmod で簡単に解決できます。
また、Windows からも OpenSolaris CIFS サーバーを参照できます。
詳細情報
OpenSolaris Project: CIFS Server のホームページ
Open Solaris CIFS Documentation と、Solaris CIFS Administrators Guide や Troubleshooting Information
また Open Solaris Storage Discuss Forum への参加もご検討ください
Posted at 08:56AM Apr 25, 2008 in Storage |
